مايكروسوفت ترقع 208 ثغرة في Patch Tuesday القياسي بينما يُطلق باحث zero-day جديداً في Defender

أصدرت مايكروسوفت تحديثات أمنية لـ 208 ثغرة في العاشر من يونيو 2026، وهو أكبر إصدار Patch Tuesday في تاريخ البرنامج الممتد 23 عاماً. وفي غضون ساعات من نشر التحديث، أطلق باحث يُعرف بـ Nightmare Eclipse كود اكسبلويت فعّال لثغرة privilege escalation غير معروفة سابقاً في Windows Defender، مما أوجد واحداً من أصعب أيام الترقيع في ذاكرة فرق الأمن المؤسسي.

ثغرة kernel قابلة للانتشار في صدر القائمة

أكثر الإصلاحات إلحاحاً هذا الشهر هي CVE-2026-45657، وهي ثغرة use-after-free بتقييم CVSS 9.8 في Windows Kernel TCP/IP stack. تُصنّف مايكروسوفت هذه الثغرة كـ wormable: يمكن لمهاجم غير مصادق عليه عبر الإنترنت أن يرسل حزم مصممة خصيصاً إلى نظام ضعيف لتحقيق تنفيذ كود بمستوى SYSTEM، دون بيانات اعتماد ودون تفاعل من المستخدم. تشمل الأنظمة المتأثرة Windows 11 الإصدارات 23H2 حتى 26H1 على معماريتَي x64 وARM64، وWindows Server 2022 و2025 بما فيها Server Core.

لا يوجد حتى الآن اكسبلويت عام مؤكد لـ CVE-2026-45657، لكن باحثي الأمن بدأوا فعلاً بإجراء reverse engineering للترقيع. ونظراً لخصائص هذه الثغرة، فإن النافذة الزمنية قبل ظهور اكسبلويت عام موثوق تُقاس بالأيام لا الأسابيع.

ست ثغرات zero-day، إحداها مستغلة فعلياً

من بين 208 CVE، توجد ست ثغرات zero-day، خمس منها أُفصح عنها علناً قبل تصحيح اليوم. إحداها — CVE-2026-42897، ثغرة spoofing في Microsoft Exchange — كانت مستغلة في الهجمات الفعلية قبل نشر الإصلاح. وتشمل zero-day البارزة الأخرى: GreenPlasma (CVE-2026-45586) لرفع الامتيازات في Windows Collaborative Translation Framework؛ YellowKey (CVE-2026-45585) وBitskrieg (CVE-2026-50507) لتجاوز BitLocker؛ وHTTP/2 Bomb (CVE-2026-49160) لهجمات denial-of-service على HTTP.sys.

بلغ عدد CVEs 208 وفق إحصاء الباحث Dustin Childs من Trend Micro Zero Day Initiative، متجاوزاً الرقم القياسي السابق البالغ 167 CVE في شهر واحد. من إجمالي الثغرات، 33 مصنّفة Critical، 28 منها ثغرات remote code execution.

RoguePlanet: zero-day جديد في Defender يصدر في اليوم ذاته

بعد ساعات من إصدار تحديث مايكروسوفت، نشر Nightmare Eclipse — الباحث الذي أصدر سلسلة من zero-day لـ Windows خلال الأشهر الأخيرة بأسماء مثل BlueHammer وRedSun وGreenPlasma — اكسبلويت جديداً بعنوان RoguePlanet يستهدف Microsoft Defender. تستغل الثغرة race condition في منطق معالجة الملفات الداخلية لـ Defender، مما يتيح لمستخدم عادي بدون صلاحيات خاصة تنفيذ كود بامتيازات SYSTEM على أجهزة Windows 10 وWindows 11 المحدّثة بالكامل.

الاكسبلويت ليس موثوقاً 100% — فهو race condition تتفاوت نسب نجاحه حسب إعدادات كل جهاز — لكن ThreatLocker أكد عمله على أجهزة Windows 11 مع تحديث KB5094126 لشهر يونيو. يمكن للمؤسسات التي تستخدم application allowlisting إغلاق هذا المتجه الهجومي.

يخوض Nightmare Eclipse نزاعاً علنياً مستمراً مع مايكروسوفت حول ممارسات الإفصاح عن الثغرات ومدفوعات bug bounty. بعد أن طالبت مايكروسوفت بإزالة مستودعات الباحث من GitHub وGitLab، انتقل Nightmare Eclipse إلى منصة self-hosted على projectnightcrawler.dev واستمر في نشر اكسبلويت جديدة. لم يُخصَّص بعد CVE لـ RoguePlanet.

ما الذي يجب إيلاؤه الأولوية

ينبغي لفرق الأمن التحرك بسرعة لترقيع CVE-2026-45657 (ثغرة kernel TCP/IP القابلة للانتشار) وCVE-2026-42897 (zero-day Exchange المستغلة فعلياً) قبل التعامل مع بقية الدفعة. أما ثغرة RoguePlanet في Defender، فلا يوجد لها ترقيع بعد — application allowlisting وقواعد كشف endpoint هي الإجراءات المتاحة ريثما تطلق مايكروسوفت الإصلاح. وبحسب تقرير BleepingComputer، تتوفر القائمة الكاملة للـ CVEs والمنتجات المتأثرة في Microsoft June 2026 Security Update Guide.